JSON — это реализация JSON для Ruby. Начиная с версии 2.10.0 и до версии 2.10.2, специально созданный документ мог вызвать нарушение чтения, что, скорее всего, приводило к сбою. Версии до 2.10.0 не уязвимы.
Версия 2.10.2 устраняет проблему. Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
JSON is a JSON implementation for Ruby. Starting in version 2.10.0 and prior to version 2.10.2, a specially crafted document could cause an out of bound read, most likely resulting in a crash. Versions prior to 2.10.0 are not vulnerable. Version 2.10.2 fixes the problem. No known workarounds are available.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ruby-Lang Javascript_Object_Notation
cpe:2.3:a:ruby-lang:javascript_object_notation:*:*:*:*:*:ruby:*:*
|
2.10.0
|
2.10.2
|